徐興濤
[摘要]侵犯公民個(gè)人信息罪的設(shè)立,較為有效地保護(hù)了公民的個(gè)人信息。隨后最高人民法院會(huì)同最高人民檢察院出臺(tái)的相關(guān)司法解釋及指導(dǎo)性案例,也為司法實(shí)踐中正確處理此類案件提供了較為可行的操作標(biāo)準(zhǔn)。但由于本罪具有預(yù)防刑法的特性,對(duì)其理解與適用應(yīng)進(jìn)行合理限縮。在理解這一罪名時(shí),應(yīng)當(dāng)以兼顧公民個(gè)人信息的保護(hù)與數(shù)據(jù)產(chǎn)業(yè)發(fā)展的平衡為價(jià)值指引,注意兩高的相關(guān)解釋與《網(wǎng)絡(luò)安全法》的銜接。在侵犯公民個(gè)人信息罪的構(gòu)成要件的具體涵攝中,應(yīng)將相關(guān)信息豁免制度作為輔助性參考,正確認(rèn)定阻卻構(gòu)成要件的情形。公民個(gè)人信息的內(nèi)涵具有“可識(shí)別性”,其范圍包括身份識(shí)別信息和活動(dòng)情況的信息,IP地址、Cookies等都可納入,但在具體的認(rèn)定上應(yīng)當(dāng)增加認(rèn)定要素以限縮范圍;作為構(gòu)成要件要素的“國(guó)家有關(guān)規(guī)定”的范圍應(yīng)當(dāng)限制為法律、行政法規(guī),部門規(guī)章應(yīng)當(dāng)排除在外。
[關(guān)鍵詞]價(jià)值衡量;信息豁免;個(gè)人信息范圍;“國(guó)家有關(guān)規(guī)定”
[中圖分類號(hào)]D914 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1671-8372(2020)01-0054-08
隨著信息社會(huì)的到來,信息資源在社會(huì)生活中發(fā)揮著越來越重要的作用,在某種意義上已成為重要的生產(chǎn)要素和社會(huì)財(cái)富的表征。個(gè)人信息的重要性也日漸凸顯,成為當(dāng)下信息經(jīng)濟(jì)中的重要元素。然而,現(xiàn)實(shí)中個(gè)人信息的泄露十分嚴(yán)重,通過刑法對(duì)公民的個(gè)人信息進(jìn)行保護(hù),成為社會(huì)公眾的理性需求。
2009年2月28日通過的《刑法修正案(七)》增加了出售、非法提供公民個(gè)人信息罪和非法獲取公民個(gè)人信息罪兩個(gè)罪名,作為刑法第二百五十三條之一,正式將侵犯公民個(gè)人信息的行為人刑。這使得司法機(jī)關(guān)在處理侵犯公民個(gè)人信息類案件時(shí)有了刑法上的依據(jù),在_定程度上打擊了此類犯罪活動(dòng)。隨著社會(huì)信息化程度的加深,侵犯公民個(gè)人信息的犯罪愈加頻發(fā),并呈現(xiàn)出與電信網(wǎng)絡(luò)詐騙、綁架、敲詐勒索等犯罪活動(dòng)聯(lián)系在一起的新特征。為了應(yīng)對(duì)這一犯罪狀況,加大對(duì)公民個(gè)人信息的保護(hù)力度,2015年8月29日通過的《刑法修正案(九)》對(duì)刑法第二百五十三條之·進(jìn)行了修改,將原來的“出售、非法提供公民個(gè)人信息罪”和“非法獲取公民個(gè)人信息罪”兩罪合并為“侵犯公民個(gè)人信息罪”一個(gè)罪名。此次修改對(duì)原有條文進(jìn)行了完善,將本罪的主體修改為一般主體,明確規(guī)定了從重處罰的情節(jié),并以情節(jié)犯的模式加重了法定刑。
根據(jù)對(duì)相關(guān)案件的統(tǒng)計(jì)分析,侵犯公民個(gè)人信息罪的大多數(shù)案件通過互聯(lián)網(wǎng)實(shí)施。此外,還與其他類型的犯罪交織在一起,這使得侵犯公民個(gè)人信息的情形比較復(fù)雜。實(shí)際案件辦理過程中,在很多具體的適用問題上存在爭(zhēng)議。為此,最高人民法院會(huì)同最高人民檢察院(下文簡(jiǎn)稱兩高)于2017年明8日發(fā)布了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(下文簡(jiǎn)稱《解釋》),為侵犯公民個(gè)人信息罪的定罪量刑提供了細(xì)化的操作指南。在此前后,兩高還曾發(fā)布了數(shù)起侵犯公民個(gè)人信息犯罪的典型案例,最高人民檢察院還在2018年11月9日印發(fā)了《檢察機(jī)關(guān)辦理侵犯公民個(gè)人信息案件指引》,這些都為實(shí)踐中正確處理此類案件提供了依據(jù)。
侵犯公民個(gè)人信息罪的設(shè)立及兩高《解釋》的出臺(tái),有力地保護(hù)了公民的個(gè)人信息,其具體的定罪量刑標(biāo)準(zhǔn)也在司法實(shí)踐中日臻完善。但是,由于侵犯公民個(gè)人信息罪具有預(yù)防刑法的特征,在具體的理解和適用中,需要關(guān)注該罪及《解釋》背后所體現(xiàn)出的價(jià)值取向,遵循刑法的謙抑性原則,并以此為指導(dǎo)正確處理司法實(shí)踐中所面臨的具體問題。
一、侵犯公民個(gè)人信息罪的價(jià)值取向與利益衡量
(一)理解該罪的基本立場(chǎng)
在當(dāng)今時(shí)代,公民個(gè)人信息是重要的生產(chǎn)要素和珍稀資源,因而收集和分析各類信息成為必要,這催生了大數(shù)據(jù)的運(yùn)用,獲取和分析數(shù)據(jù)信息成為社會(huì)運(yùn)行的常態(tài)。商家為了進(jìn)行精準(zhǔn)營(yíng)銷,會(huì)在其經(jīng)營(yíng)過程中利用自己提供的商品或者服務(wù)有意識(shí)地收集個(gè)人信息,甚至還會(huì)同其他商家進(jìn)行交換、分享等,以便于進(jìn)行個(gè)性化定制活動(dòng)。各地建立了很多數(shù)據(jù)交易公司,以實(shí)行數(shù)據(jù)信息的共享和利用。除作為經(jīng)濟(jì)實(shí)體的商家外,國(guó)家層面的社會(huì)治理和管控的科學(xué)化水平也有賴于大數(shù)據(jù)的應(yīng)用,通過大數(shù)據(jù)分析,政府可以更理性科學(xué)地做出決策。因此,大數(shù)據(jù)的應(yīng)用和發(fā)展,對(duì)于促進(jìn)社會(huì)進(jìn)步、經(jīng)濟(jì)發(fā)展以及提高政府綜合治理水平,都具有重要的作用。從某種意義上說,大數(shù)據(jù)是國(guó)家重要的戰(zhàn)略資源,也是科技創(chuàng)新的重要增長(zhǎng)點(diǎn)。
個(gè)人信息也是信息經(jīng)濟(jì)健康發(fā)展的要素,而個(gè)人信息是否安全直接影響著信息經(jīng)濟(jì)能否向好發(fā)展。動(dòng)用刑罰手段對(duì)個(gè)人信息進(jìn)行保護(hù),具有迫切的現(xiàn)實(shí)需求。公民個(gè)人信息的安全固然重要,但也不能因噎廢食。尤其是在當(dāng)前大數(shù)據(jù)相關(guān)行業(yè)的發(fā)展如火如荼的形勢(shì)下,更應(yīng)當(dāng)處理好二者的關(guān)系。在大數(shù)據(jù)和云計(jì)算的時(shí)代背景下,包括公民個(gè)人信息在內(nèi)的各種信息要想創(chuàng)造價(jià)值,必須能夠自由地流動(dòng)和交易,而在這一過程中不可避免地會(huì)涉及公民個(gè)人信息的保護(hù)邊界問題。毋庸諱言,公民個(gè)人信息的保護(hù)與大數(shù)據(jù)產(chǎn)業(yè)發(fā)展之間存在一定的張力,解決二者矛盾的有效途徑即是通過制定和適用相關(guān)法律,為兩者的劃分提供相對(duì)清晰的標(biāo)準(zhǔn)。我國(guó)信息產(chǎn)業(yè)的發(fā)展與公民個(gè)人信息的保護(hù),必須通過良好法律框架的構(gòu)建來加以協(xié)調(diào)。在對(duì)侵犯公民個(gè)人信息的犯罪行為進(jìn)行有效打擊的同時(shí),應(yīng)當(dāng)考慮其對(duì)大數(shù)據(jù)相關(guān)行業(yè)的發(fā)展所可能產(chǎn)生的消極影響,為大數(shù)據(jù)應(yīng)用創(chuàng)造較為寬松的法律環(huán)境。
兩高的《解釋》作為司法實(shí)踐中認(rèn)定該罪的重要參考,無疑具有最為顯在的指引作用?!毒W(wǎng)絡(luò)安全法》作為我國(guó)第一部涉及網(wǎng)絡(luò)安全管理的基礎(chǔ)性法律,對(duì)公民個(gè)人信息的保護(hù)做了較為系統(tǒng)的規(guī)定?!督忉尅返闹贫ㄗ⒁饬伺c《網(wǎng)絡(luò)安全法》的協(xié)調(diào),對(duì)于不屬于侵犯公民個(gè)人信息的行為進(jìn)行了較為明確的說明。如《網(wǎng)絡(luò)安全法》第四十四條對(duì)非法行為進(jìn)行了限制和禁止,但對(duì)于合法出售或者提供公民個(gè)人信息的情形則予以認(rèn)可。《網(wǎng)絡(luò)安全法》第四十二條第一款還將征得被收集者同意、匿名化處理兩種行為作為合法利用信息的行為,與之相對(duì)應(yīng),《解釋》也將這兩種行為排除在“提供公民個(gè)人信息”范圍之外,這也體現(xiàn)了其平衡個(gè)人信息保護(hù)與促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的立場(chǎng)。因此,對(duì)侵犯公民個(gè)人信息罪進(jìn)行理解和適用時(shí),既要懲罰侵犯?jìng)€(gè)人信息的犯罪行為,發(fā)揮刑法的威懾和教育的作用,也應(yīng)保持刑法的明確性和謙抑性,盡可能減少不利于信息產(chǎn)業(yè)良性發(fā)展的影響。
(二)施行中的建議
我國(guó)對(duì)公民個(gè)人信息的濫用情況十分嚴(yán)重,而與信息保護(hù)相關(guān)的立法則比較滯后,為了有效遏制這一具有嚴(yán)重法益侵害性的行為,國(guó)家動(dòng)用刑法進(jìn)行規(guī)制具有現(xiàn)實(shí)合理性。對(duì)《解釋》的不正確理解和適用,會(huì)有損大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展,甚至也會(huì)對(duì)一些廣泛適用的商業(yè)規(guī)則產(chǎn)生影響。侵犯公民個(gè)人信息罪的認(rèn)定范圍對(duì)我國(guó)商業(yè)活動(dòng)中的數(shù)據(jù)交換和數(shù)據(jù)交易有較大的示范性指引作用,如果在實(shí)踐中處理不當(dāng),可能會(huì)帶來相關(guān)行業(yè)和產(chǎn)業(yè)的萎縮。
首先,應(yīng)在符合法律規(guī)定的前提下,注意對(duì)侵犯公民個(gè)人信息罪成立范圍的限縮?!督忉尅返某雠_(tái),填補(bǔ)了侵犯公民個(gè)人信息罪在司法適用中的模糊地帶,但我們?cè)谶m用中也不能被司法解釋所奴役,簡(jiǎn)單機(jī)械地適用《解釋》的規(guī)定。在該罪的具體理解和適用中,應(yīng)當(dāng)注意拿捏好保護(hù)個(gè)人信息與促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的分寸。對(duì)于侵犯公民個(gè)人信息罪的具體范圍,有學(xué)者提出了限縮的具體路徑:將該罪的法益界定為公民的人格尊嚴(yán)與個(gè)人自由;對(duì)公民個(gè)人信息的范圍以法益侵害性進(jìn)行限制;增加行為目的作為該罪的構(gòu)成要件要素。這些具體路徑的探討雖然存在爭(zhēng)議之處,但在基本方向上無疑是正確的。
其次,具體適用中應(yīng)有意識(shí)地引導(dǎo)數(shù)據(jù)行業(yè)的合規(guī)建設(shè)。在大數(shù)據(jù)時(shí)代,平衡公民個(gè)人信息的保護(hù)與發(fā)展信息產(chǎn)業(yè),應(yīng)注意發(fā)揮行業(yè)自律的功能,加大企業(yè)的責(zé)任。當(dāng)前,公民的個(gè)人信息很容易泄露,傳統(tǒng)的保護(hù)方式的效果已式微。在平衡個(gè)人信息保護(hù)與促進(jìn)數(shù)據(jù)行業(yè)發(fā)展之間如能注重發(fā)揮行業(yè)的有效自律,制定相關(guān)行業(yè)的實(shí)施細(xì)則,不僅能夠?yàn)檎J(rèn)定侵犯公民個(gè)人信息罪提供依據(jù),而且可以促進(jìn)企業(yè)建立合規(guī)制度,提高數(shù)據(jù)利用的職業(yè)素養(yǎng)。所以,在制度設(shè)計(jì)的理念層面,“政府不應(yīng)假定消費(fèi)者在使用企業(yè)的通信工具等產(chǎn)品時(shí)主動(dòng)透露了自己的隱私,那樣就意味著他們授權(quán)企業(yè)使用這些隱私”。而應(yīng)當(dāng)增強(qiáng)數(shù)據(jù)相關(guān)企業(yè)、行業(yè)的責(zé)任感,提升其數(shù)據(jù)利用的道德意識(shí)和良好觀念。因此,侵犯公民個(gè)人信息罪的具體認(rèn)定,在實(shí)現(xiàn)良好的法律效果的同時(shí),應(yīng)注意對(duì)行業(yè)自律和企業(yè)合規(guī)建設(shè)的引導(dǎo),進(jìn)而實(shí)現(xiàn)良好的社會(huì)效果。
二、信息豁免制度與構(gòu)成要件的涵攝
在刑法修正案和《解釋》中幾乎沒有明確規(guī)定與獲取、使用公民個(gè)人信息的豁免制度相關(guān)的內(nèi)容,也沒有指出法律適用中的“例外”情形。毋庸置疑,作為信息資源的一部分,公民個(gè)人信息具有極其特殊的地位,往往附帶巨大的經(jīng)濟(jì)價(jià)值?;谠诒U瞎駛€(gè)人信息權(quán)利的同時(shí),兼顧互聯(lián)網(wǎng)大數(shù)據(jù)發(fā)展的現(xiàn)實(shí)需求,雖然相關(guān)法律沒有對(duì)合理取得、使用公民個(gè)人信息的行為予以明確排除,但是在對(duì)侵犯公民個(gè)人信息罪的構(gòu)成要件進(jìn)行涵攝時(shí),應(yīng)當(dāng)結(jié)合相關(guān)的信息豁免制度對(duì)非法獲取、出售和提供公民個(gè)人信息的行為進(jìn)行理性判斷,對(duì)阻卻構(gòu)成要件的情形正確地進(jìn)行識(shí)別和認(rèn)定。
我國(guó)公民個(gè)人信息保護(hù)的法律框架并不完善,相關(guān)信息制度也并不成熟,尤其是在信息豁免制度方面。在經(jīng)濟(jì)學(xué)和社會(huì)學(xué)領(lǐng)域存在“后發(fā)優(yōu)勢(shì)理論”,該理論認(rèn)為,“發(fā)展中國(guó)家收入水平、技術(shù)發(fā)展水平、產(chǎn)業(yè)結(jié)構(gòu)水平與發(fā)達(dá)國(guó)家有差距,可以利用這些差距,通過引進(jìn)技術(shù)的方式來加速技術(shù)變遷,從而使經(jīng)濟(jì)發(fā)展得更陜?!边@也同樣適用于個(gè)人信息保護(hù)制度的建構(gòu),在信息制度豁免方面,我們可以借鑒域外的先進(jìn)經(jīng)驗(yàn)。
(一)靈活運(yùn)用目的限定原則
目的限定原則在《網(wǎng)絡(luò)安全法》上有較為明確和集中的表述?!毒W(wǎng)絡(luò)安全法》第四十一條規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。”這是對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者在收集、使用目的上進(jìn)行的限定,也即符合其目的的行為應(yīng)當(dāng)認(rèn)為是合法使用。刑法第二百五十三條之一第三款規(guī)定了“以其他方法非法獲取公民個(gè)人信息”的行為方式,《解釋》對(duì)其內(nèi)容進(jìn)行了具體說明,以列舉的方式將兩種情形認(rèn)定為“其他方法”。“其他方法”具有兜底條款的屙陛,在具體的認(rèn)定中可以合理借鑒目的限定原則。當(dāng)獲取或者收集公民個(gè)人信息的行為符合使用目的時(shí),不應(yīng)當(dāng)認(rèn)定為“以其他方法非法獲取公民個(gè)人信息”。在具體判斷是否符合使用目的時(shí),應(yīng)當(dāng)進(jìn)行動(dòng)態(tài)的把握。借鑒場(chǎng)景及風(fēng)險(xiǎn)的理念,合理地評(píng)估后續(xù)的數(shù)據(jù)收集及處理。具體來說,應(yīng)從客觀和主觀兩個(gè)方面進(jìn)行考察:從客觀看,后續(xù)行為是否增加了原有的風(fēng)險(xiǎn);在主觀上,考察后續(xù)的處理是否超出了用戶的合理預(yù)期。如果這兩方面都能得出否定的結(jié)論,則可以認(rèn)為是“合理使用”,可以對(duì)此種行為進(jìn)行豁免。
(二)本人同意的效果
《網(wǎng)絡(luò)安全法》第四十一條還涉及本人同意的效果問題。德國(guó)的信息保護(hù)走在了歐盟的前列,其信息保護(hù)的法律和制度對(duì)歐盟產(chǎn)生了重大影響。德國(guó)刑法中有侵害私密罪,但與我國(guó)的侵犯公民個(gè)人信息罪存在較大差別,其信息保護(hù)的主要法律是《聯(lián)邦信息保護(hù)法》。盡管整個(gè)歐盟境內(nèi)適用《一般信息保護(hù)條例》,但是并沒有到影響《聯(lián)邦信息保護(hù)法》在德國(guó)的普遍適用。因?yàn)榈聡?guó)信息保護(hù)的立法水平非常高,《一般信息保護(hù)條例》借鑒了《聯(lián)邦信息保護(hù)法》的許多法律制度。德國(guó)個(gè)^信皂、保護(hù)的主要原則是信息控制,由信息主體決定其信息被采集的時(shí)間、地點(diǎn)及方式。這種個(gè)人對(duì)其信息支配和控制的權(quán)利被稱為信息自決權(quán),是憲法上人陛尊嚴(yán)保障的體現(xiàn)。德國(guó)《聯(lián)邦信息保護(hù)法》在理念上推崇意思自治原則,將信息主體的同意作為合法采集、使用的判斷標(biāo)準(zhǔn),并詳細(xì)規(guī)定了信息主體所享有的具體權(quán)利。《解釋》第三條明確了未經(jīng)被收集者同意向他人提供信息的行為屬于“提供公民個(gè)人信息”,其內(nèi)容能否反向推定適用于構(gòu)成要件的排除值得探討。刑法上的被害人承諾的相關(guān)理論可以用于解決在信息主體同意時(shí)對(duì)行為人的歸責(zé)問題。被害人承諾在犯罪論體系中的地位存在—定的爭(zhēng)議,按照德國(guó)影響較大的觀點(diǎn),其屬于客觀歸責(zé)的內(nèi)容,在存在被害人承諾時(shí)原則上阻卻構(gòu)成要件。
原則上講,本人同意可以作為合理使用的條件,一般情況下可以免責(zé)。但是也不能進(jìn)行簡(jiǎn)單的處理,在出現(xiàn)社會(huì)的一般人難以預(yù)見風(fēng)險(xiǎn)、制造風(fēng)險(xiǎn)和風(fēng)險(xiǎn)升高的情形時(shí),如果行為人利用其信息技術(shù)優(yōu)勢(shì)對(duì)此有認(rèn)識(shí),應(yīng)當(dāng)主動(dòng)采取造成較小風(fēng)險(xiǎn)的措施和預(yù)案。若本人知曉其風(fēng)險(xiǎn)后,明確表示同意接受的,則仍可以視為合理使用,進(jìn)而以被害人承諾理論排除歸責(zé)。
(三)禁止收集原則及其例外制度
在對(duì)侵犯公民個(gè)人信息罪的行為方式進(jìn)行認(rèn)定時(shí),可以結(jié)合和參考外國(guó)及國(guó)際組織關(guān)于個(gè)人信息保護(hù)的禁止收集信息原則及其例外制度,作為行為認(rèn)定的輔助性參考資料。因?yàn)槲覈?guó)信息保護(hù)的法律體系并不健全,現(xiàn)有的法律制度及立法水平也有待完善和提高,當(dāng)出現(xiàn)侵犯公民個(gè)人信息的相關(guān)行為時(shí),在對(duì)行為進(jìn)行類型化處理的同時(shí),尤其應(yīng)當(dāng)適當(dāng)參考域外的禁止原則與特定情形下的例外規(guī)定?!督忉尅返谒臈l還將違反國(guó)家規(guī)定“在履行職責(zé)、提供服務(wù)過程中收集公民個(gè)人信息的”行為認(rèn)定為非法獲取公民個(gè)人信息,在理解和適用這一行為方式時(shí),除了與我國(guó)的信息保護(hù)的相關(guān)法律和制度銜接外,應(yīng)參考國(guó)際通行的信息禁止收集原則和例外收集制度。
經(jīng)濟(jì)合作與發(fā)展組織(OECD)、歐盟和德國(guó)的信息立法中都包括一些例外的規(guī)定。原則上,法律有授權(quán)時(shí),才能在一定條件下收集公民個(gè)人信息,但收集的條件并不適用于一些特殊情形。如國(guó)家機(jī)關(guān)在履行公共職責(zé),以及新聞媒體和公民個(gè)人在監(jiān)督國(guó)家機(jī)關(guān)公職人員履職情況時(shí),不需要經(jīng)過信息主體的同意,但諸如種族、健康狀況等敏感信息禁止收集。加拿大《隱私權(quán)法》在說明隱私權(quán)的范圍時(shí),對(duì)于公職人員的職務(wù)信息也做了除外規(guī)定。因此,為了公共利益的需要或者特殊職業(yè)的要求而采集公民個(gè)人信息的,不宜認(rèn)定為非法獲取公民信息的行為。《網(wǎng)絡(luò)安全法》第二十八條中規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)負(fù)有協(xié)助義務(wù),可以視為信息收集和信息提供的例外制度。此外,美國(guó)在《消費(fèi)者隱私權(quán)利法案(草案)》中建立了信息的“安全港機(jī)制”,德國(guó)對(duì)此也有相關(guān)討論。據(jù)此,在立法和監(jiān)管的過程中,應(yīng)鼓勵(lì)相關(guān)行業(yè)根據(jù)法律的原則自行制定實(shí)施細(xì)則,調(diào)動(dòng)多方主體的參與,增強(qiáng)法律與制度的靈活性,并賦予這些細(xì)則的強(qiáng)制效力和免予直接執(zhí)行立法條文的豁免權(quán),以促進(jìn)對(duì)法律的正確實(shí)施。從而,在認(rèn)定信息行業(yè)的參與主體是否存在非法獲取公民信息的行為時(shí),應(yīng)當(dāng)充分考慮其在尊重法律原則前提下所制定的通行的行業(yè)細(xì)則,以彌合法律的高冷與行業(yè)規(guī)則的世俗。
三、公民個(gè)人信息的內(nèi)涵和范圍
關(guān)于公民個(gè)人信息的內(nèi)涵和范圍,一直存在爭(zhēng)議。從構(gòu)成要件要素的分類而言,公民個(gè)人信息屬于規(guī)范的構(gòu)成要件要素。張明楷教授曾對(duì)其在實(shí)踐中的困境進(jìn)行描述:“法官不僅需要判斷案件事實(shí)是否符合構(gòu)成要件,而且需要以特定的違法性為導(dǎo)向,以某種規(guī)范為前提理解構(gòu)成要件要素和評(píng)價(jià)案件事實(shí)?!币虼?,公民個(gè)人信息的這一構(gòu)成要件要素的屬性自身造成了理解和認(rèn)定上的困難。即便是《解釋》第一條對(duì)公民個(gè)人信息的范圍進(jìn)行了較為明確的規(guī)定,在具體的適用中仍應(yīng)當(dāng)注意其規(guī)范性的一面。為平衡公民個(gè)人信息保護(hù)與數(shù)據(jù)產(chǎn)業(yè)的發(fā)展,在認(rèn)定公民個(gè)人信息時(shí),應(yīng)注意與《網(wǎng)絡(luò)安全法》等相關(guān)個(gè)人信息保護(hù)法律的銜接,把握其核心內(nèi)涵,合理確定其范圍。此外,還要結(jié)合相關(guān)的信息豁免制度,適當(dāng)增加相關(guān)要素,對(duì)不宜納入保護(hù)范圍的信息予以排除和限縮。
(一)公民個(gè)人信息的界定
關(guān)于公民個(gè)人信息的內(nèi)涵和范圍,國(guó)外立法中的規(guī)定也存在較大的差異。如日本在《個(gè)人信息保護(hù)法》中采取了個(gè)人信息的概念,美國(guó)的《隱私法》將個(gè)人信息納入隱私權(quán)的保護(hù)范圍,歐洲國(guó)家則在立法中采用個(gè)人數(shù)據(jù)的說法。我國(guó)理論界則存在以下觀點(diǎn):廣義說認(rèn)為可以識(shí)別出特定個(gè)人并與其有關(guān)聯(lián)的一切信息都是個(gè)人信息,包括公民個(gè)人身份、財(cái)產(chǎn)狀況及個(gè)人隱私等方面;識(shí)別說則界定為可以用來識(shí)別公民個(gè)人身份的姓名、職業(yè)、年齡、婚姻狀況、學(xué)歷等信息;隱私說則將其限定在與個(gè)人隱私相關(guān)的范圍。盡管上述觀點(diǎn)在表述上有所不同,但其內(nèi)涵和基礎(chǔ)是相同的,即“識(shí)別性”是個(gè)人信息的核心特征?!督忉尅分袑?duì)于個(gè)人信息的界定,大體上采用了“侵犯公民人格權(quán)犯罪問題”課題組的觀點(diǎn),將公民的個(gè)人信息的內(nèi)涵確定為能直接指明或間接推斷出公民個(gè)人身份的信息,不僅包括能識(shí)別公民個(gè)人身份的靜態(tài)信息,還包括能夠體現(xiàn)公民行蹤的動(dòng)態(tài)信息;在立法方式上,采取概括加列舉的方式,以適應(yīng)社會(huì)的發(fā)展需求等。這為解決司法實(shí)踐中出現(xiàn)的疑難問題提供了標(biāo)準(zhǔn)。
就公民個(gè)人信息而言,以“可識(shí)別性”作為其本質(zhì)屙陛,將單獨(dú)或者與其他信息結(jié)合反映特定人身份或者活動(dòng)的信息都包括在內(nèi),具有其合理性。從與其他相關(guān)信息保護(hù)法律的結(jié)合來看,《解釋》對(duì)公民個(gè)人信息的界定考慮了與《網(wǎng)絡(luò)安全法》的銜接,并吸收了司法實(shí)踐中的做法?!毒W(wǎng)絡(luò)安全法》第七十六條從內(nèi)涵和外延兩個(gè)方面對(duì)個(gè)人信息的內(nèi)容進(jìn)行了規(guī)定,個(gè)人信息的主要判斷標(biāo)準(zhǔn)為是否具有“可識(shí)別性”,范圍主要集中于‘身份識(shí)別信息”。《解釋》采用了《網(wǎng)絡(luò)安全法》“可識(shí)別性”的本質(zhì)內(nèi)涵,但內(nèi)容上包括身份識(shí)別信息和活動(dòng)情況信息,這考慮了司法實(shí)踐中的狀況,適應(yīng)了公民個(gè)人信息保護(hù)的現(xiàn)實(shí)需求。
與《網(wǎng)絡(luò)安全法》相同,《解釋》對(duì)公民個(gè)人信息的范圍也采用了列舉的方式,但明確包括了“行蹤軌跡”。此處“等”字的用法應(yīng)為列舉不盡,表示省略的情形與列舉的事物具有性質(zhì)上的相似性。因此,戶籍信息、手機(jī)定位、住宿記錄、通話清單、征信信息、網(wǎng)購(gòu)訂單信息等,都屬于公民個(gè)人信息的范圍,之前的司法案例也持相同的觀點(diǎn)。但是,此處并非像有學(xué)者主張的那樣,對(duì)公民個(gè)人信息進(jìn)行了范圍上的擴(kuò)充,只是在符合信息本質(zhì)屬性的前提下所做的列舉,這些信息必須符合“可識(shí)別性”,否則,應(yīng)不屬于公民個(gè)人信息的范圍。這也是平衡公民個(gè)^信息保護(hù)與數(shù)據(jù)產(chǎn)業(yè)發(fā)展的應(yīng)有之義。
(二)IP地址、cookies等屬于公民個(gè)人信息的范疇
除了一些較為明確的信息種類外,還存在一些是否屬于個(gè)人信息尚無定論的情形。對(duì)于以下信息,如IP地址、cookies等是否屬于公民個(gè)人信息的范疇,存在爭(zhēng)議。根據(jù)百度的解釋,IP是英文InternetProtocol的縮寫,是為計(jì)算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信而設(shè)計(jì)的協(xié)議。任何一臺(tái)計(jì)算機(jī)只要接入因特網(wǎng)中,遵守這套規(guī)則,就能與其他計(jì)算機(jī)實(shí)現(xiàn)通信。如果把計(jì)算機(jī)比作電話,IP地址就是電話號(hào)碼。在現(xiàn)有的技術(shù)條件下,知道一個(gè)用戶電腦的IP地址,通過這個(gè)地址來確定其實(shí)際的使用地址,是非常容易做到的事。網(wǎng)絡(luò)管理人員常常是通過IP地址來確定網(wǎng)絡(luò)故障的位置,廣告商則利用這項(xiàng)技術(shù)將廣告進(jìn)行精準(zhǔn)的投放,而這些只是IP地址定位的最基本的應(yīng)用。當(dāng)下,在計(jì)算機(jī)領(lǐng)域,IP地址的實(shí)體地理位置定位技術(shù)的研究,也在不斷進(jìn)步,很多人都提出了新的定位技術(shù)并開發(fā)出IP地址的定位產(chǎn)品。而且通過查詢ID號(hào),能夠進(jìn)人專用網(wǎng)絡(luò)實(shí)施相關(guān)犯罪,司法實(shí)踐中已有相關(guān)判例。因此,從公民個(gè)人信息“可識(shí)別性”實(shí)質(zhì)內(nèi)涵來看,IP地址完全可以納入《解釋》所規(guī)定的行蹤軌跡中去。
Cookies是一種儲(chǔ)存在用戶本地終端上的加密的數(shù)據(jù)形式,通常是網(wǎng)站為了辨別用戶身份、進(jìn)行session產(chǎn)生的。它是由Web服務(wù)器保存在用戶瀏覽器上的小文本文件,包含了有關(guān)用戶的信息。其最基本的應(yīng)用就是方便用戶登錄,當(dāng)用戶登錄網(wǎng)站時(shí)同意“下次自動(dòng)登錄”,包含了相關(guān)信息的Cookies等就被保存到本地。Cookies常常會(huì)關(guān)聯(lián)到用戶隱私,實(shí)踐中發(fā)生了大量的與之有關(guān)的案例。因此,通過Cookies或者與其他信息的結(jié)合,很容易知道特定人的身份信息和特定活動(dòng)。此外,互聯(lián)網(wǎng)的安全狀況致使Cookies自身保存的信息泄露的情況時(shí)有發(fā)生,造成了比較嚴(yán)重的后果。因此,從某種意義上說,Cookies只是讓公民個(gè)人信息的載體發(fā)生了變化,并沒有改變其內(nèi)容,將其認(rèn)定為公民個(gè)人信息沒有疑問。此外,歐盟將與數(shù)據(jù)主體相關(guān)的任何信息都視為個(gè)人數(shù)據(jù)(公民個(gè)人信息);而數(shù)據(jù)主體是指控制者、自然人、法人通過有效運(yùn)用數(shù)據(jù)而識(shí)別的自然人,這些數(shù)據(jù)包括了定位數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識(shí)符等。這也從另一個(gè)側(cè)面說明了將IP地址、Cookies等網(wǎng)絡(luò)空間的信息認(rèn)定為公民個(gè)人信息的可行性。
(三)認(rèn)定要素補(bǔ)充與范圍限縮
從應(yīng)然層面上看,《解釋》應(yīng)明確規(guī)定不屬于“公民個(gè)人信息的情形”,從正反兩個(gè)方面加以規(guī)定,以使個(gè)人信息的范圍進(jìn)一步明確??梢圆捎枚ㄐ缘拿枋龊土信e的示例,對(duì)豁免的情形進(jìn)行具體的闡釋。但是《解釋》并沒有明確規(guī)定除外情形,因此在對(duì)公民個(gè)人信息進(jìn)行認(rèn)定時(shí)應(yīng)當(dāng)把握住其核心特征,對(duì)不屬于公民個(gè)人信息的范圍進(jìn)行排除。
實(shí)際適用過程中,應(yīng)當(dāng)對(duì)公民個(gè)人信息的范圍做進(jìn)一步的限縮,以刑法的謙抑性原則為指導(dǎo),結(jié)合生活實(shí)際和立法宗旨進(jìn)行綜合判斷,避免對(duì)公民個(gè)人信息認(rèn)定的范圍過寬。司法實(shí)務(wù)也關(guān)注到這一點(diǎn),引發(fā)了從適用的技術(shù)層面以匿名化和情景判斷為標(biāo)準(zhǔn)進(jìn)行的探討。在具體的判斷標(biāo)準(zhǔn)上,有學(xué)者提出,“應(yīng)同時(shí)考慮個(gè)人意愿與社會(huì)評(píng)價(jià)。”這對(duì)于我們認(rèn)定公民個(gè)人信息有一定的借鑒意義。在具體認(rèn)定時(shí),首先應(yīng)當(dāng)考慮本人意愿,即本人是否同意其個(gè)人信息被公開,故意炒作的除外,如追求曝光率和粉絲數(shù)量的主播“網(wǎng)紅”等;其次要考慮是否具有保護(hù)的必要或價(jià)值,如果該信息的泄露會(huì)給公民個(gè)人的生活造成重大影響,那么就應(yīng)該納入刑法的保護(hù)范圍。
司法實(shí)踐中,涉案信息的私密性也可以作為考量的要素。如對(duì)于行蹤軌跡的認(rèn)定上,需要考慮其是否具有私密性,進(jìn)而確定所涉信息是否值得刑法保護(hù)。在進(jìn)行甄別時(shí)應(yīng)注意把握一定的原則,遵循可行的方法。具體的審查過程中,應(yīng)當(dāng)以一般人的觀念為標(biāo)準(zhǔn),確定信息中的內(nèi)容是否具有私密性;根據(jù)社會(huì)發(fā)展的客觀情況,來判斷該信息是否應(yīng)當(dāng)保密;在判斷的時(shí)點(diǎn)上,應(yīng)當(dāng)站在行為時(shí)的立場(chǎng),以行為當(dāng)時(shí)的主客觀情狀來加以判斷。盡管公民個(gè)人信息的內(nèi)涵和外延有了較為明確的規(guī)定,但在實(shí)際辦案過程中仍然存在難點(diǎn),如信息的數(shù)量和是否真實(shí)有效,目前尚未有可行的科學(xué)方法進(jìn)行驗(yàn)證,這也加劇了此類案件認(rèn)定上的困難。
四、關(guān)于“違反國(guó)家有關(guān)規(guī)定”的理解
在侵犯公民個(gè)人信息罪的認(rèn)定上,涉及對(duì)“違反國(guó)家有關(guān)規(guī)定”的理解。有觀點(diǎn)將“違反國(guó)家有關(guān)規(guī)定”的功能定位于提示違法性,并闡述了其在違法性評(píng)價(jià)和責(zé)任評(píng)價(jià)階段所應(yīng)具有的意義。筆者認(rèn)為,違反國(guó)家有關(guān)規(guī)定為該罪的構(gòu)成要件要素,形塑了該罪的不法類型。侵犯公民個(gè)人信息罪屬于法定犯,對(duì)其認(rèn)定首先需要借助前置的法律規(guī)定的內(nèi)容。公民個(gè)人信息的保護(hù)與數(shù)據(jù)產(chǎn)業(yè)發(fā)展的邊界集中體現(xiàn)在是否違反國(guó)家有關(guān)規(guī)定上,構(gòu)成要件涵攝中對(duì)于相關(guān)豁免制度的參考,也離不開對(duì)這一構(gòu)成要件要素的解讀。需要注意的是,這一構(gòu)成要件要素在兩個(gè)修正案中的表述是不同的,《刑法修正案(七)》在條文中的表述為“違反國(guó)家規(guī)定”,而《刑法修正案(九)》將其修改為“違反國(guó)家有關(guān)規(guī)定”。二者僅僅是表述的不同還是存在內(nèi)容上的差異?有學(xué)者將《刑法修正案(七)》中的“違反國(guó)家規(guī)定”限定為違反法律及行政法規(guī),并將刑法第九十六條的規(guī)定作為參照,從該條來看,“國(guó)家規(guī)定”的位階應(yīng)為法律或者行政法規(guī),因此,“違反部門規(guī)章、地方性法規(guī)、地方政府規(guī)章等規(guī)范性文件,不是構(gòu)成本罪的前提?!倍督忉尅返牡诙l明確了“國(guó)家有關(guān)規(guī)定”應(yīng)包括法律、行政法規(guī)和部門規(guī)章。
首先,從罪狀類型上看,“違反國(guó)家有關(guān)規(guī)定”屬于空白罪狀,是認(rèn)定本罪不法的前提。采用空白罪狀的方式,要求其構(gòu)成要件的認(rèn)定必須與前置法的規(guī)定相聯(lián)系。隨著社會(huì)信息化進(jìn)程的加快,信息的內(nèi)容會(huì)不斷擴(kuò)充。采用空白罪狀的立法方式可以適應(yīng)社會(huì)形勢(shì)的發(fā)展,對(duì)于保護(hù)公民個(gè)人的信息安全具有工具性價(jià)值,且能夠保證刑法的穩(wěn)定性。但是由于空白罪狀所固有的特點(diǎn),會(huì)與罪刑法定所要求的明確性產(chǎn)生一定的沖突,因此對(duì)于這一構(gòu)成要件要素應(yīng)適當(dāng)進(jìn)行限縮。
其次,侵犯公民個(gè)人信息罪的法益屙陛也會(huì)影響侵犯公民個(gè)人信息罪的范圍。有學(xué)者以被害人教義學(xué)理論為分析框架,得出了侵犯公民個(gè)人信息罪的法益具有公共性的結(jié)論。還有人結(jié)合大數(shù)據(jù)環(huán)境將侵犯公民個(gè)人信息罪的法益界定為信息專有權(quán),是一種集體法益。如果將其理解為超個(gè)人法益,就會(huì)使該罪的適用范圍擴(kuò)大。因此,有觀點(diǎn)將個(gè)人信息權(quán)中的信息自決權(quán)作為本罪的法益,以發(fā)揮其甄別信息與保障自由的機(jī)能。盡管本罪的法益具有模糊性,但該罪條文處于侵犯公民人身權(quán)利、民主權(quán)利罪一章中,因此本罪的法益宜界定為個(gè)人法益,這也要求對(duì)“違反國(guó)家有關(guān)規(guī)定”的范圍應(yīng)當(dāng)加以限定。
最后,從具體的技術(shù)操作層面上看,對(duì)“違反國(guó)家有關(guān)規(guī)定”的內(nèi)容也不應(yīng)做擴(kuò)大理解。有學(xué)者對(duì)“違反國(guó)家有關(guān)規(guī)定”限縮的具體途徑進(jìn)行了討論,認(rèn)為“國(guó)家有關(guān)規(guī)定”的范圍應(yīng)當(dāng)包括規(guī)章在內(nèi),只是對(duì)規(guī)章的內(nèi)容進(jìn)行了限制。筆者認(rèn)為,公民個(gè)人信息的范圍十分廣泛,因此,需要有法律、行政法規(guī)的專門、明確而具體的規(guī)定。對(duì)“違反國(guó)家有關(guān)規(guī)定”不能做較為寬泛的一般意義來理解,應(yīng)注意其與其他罪狀中相同表述的區(qū)別。刑法第九十六條對(duì)“違反國(guó)家規(guī)定”的含義做了明確規(guī)定,因?yàn)樾谭倓t對(duì)于分則具有指導(dǎo)意義,分則具體犯罪的構(gòu)成要件的成立,應(yīng)以總則為指導(dǎo)。因此,在界定“違反國(guó)家有關(guān)規(guī)定”這一空白罪狀所參照的規(guī)范依據(jù)時(shí),不宜超越“國(guó)家規(guī)定”的范圍。換言之,《刑法修正案(七)》與《刑法修正案(九)》在具體內(nèi)容上是一致的,僅僅存在表述上的差異。就效力而言,部門規(guī)章的效力較低,而且其制定程序也較為粗疏,在內(nèi)容上甚至存在抵牾之處。如果以部門規(guī)章等作為依據(jù),可能會(huì)發(fā)生適用上的混亂,違反刑法的謙抑性。大多數(shù)規(guī)章對(duì)公民個(gè)人信息的保護(hù)是非常散亂的,實(shí)際上也難以起到強(qiáng)化公民個(gè)人信息保護(hù)的作用。如果將“國(guó)家有關(guān)規(guī)定”的范圍擴(kuò)大到規(guī)章,那么地方性法規(guī)等與其效力相當(dāng)?shù)囊?guī)范怎樣處理,也是比較難以判定。
此外,將“國(guó)家有關(guān)規(guī)定”采用寬泛的理解,無疑會(huì)給相關(guān)信息產(chǎn)業(yè)帶來巨大的負(fù)擔(dān),使其在產(chǎn)業(yè)的創(chuàng)新方面趨于保守,喪失其作為新興產(chǎn)業(yè)應(yīng)有的活力。在具體構(gòu)成要件的涵攝上,也應(yīng)當(dāng)將“違反國(guó)家有關(guān)規(guī)定”與相關(guān)的信息豁免制度結(jié)合,以限縮侵犯公民個(gè)人信息罪的成立范圍。有學(xué)者以整體法秩序?yàn)橐暯?,將缺乏前置法禁止依?jù)的信息主體同意出售信息的行為予以出罪。所以,如果將部門規(guī)章也納入“國(guó)家有關(guān)規(guī)定”,則在具體的構(gòu)成要件涵攝中,會(huì)影響到相關(guān)信息豁免制度的參考,不利于對(duì)阻卻構(gòu)成要件的事由進(jìn)行正確的認(rèn)定,進(jìn)而會(huì)不當(dāng)擴(kuò)大該罪的處罰范圍。因此,《解釋》將“國(guó)家有關(guān)規(guī)定”的范圍擴(kuò)展到部門規(guī)章,這一做法值得商榷。
五、結(jié)語
在當(dāng)前侵犯公民個(gè)人信息的犯罪高發(fā),并日趨嚴(yán)峻的情況下,加大對(duì)公民個(gè)人信息的保護(hù)力度是正確的選擇。侵犯公民個(gè)人信息罪是預(yù)防刑法的體現(xiàn),具有處罰的早期化和法益抽象化的特征。因此,在對(duì)犯罪進(jìn)行打擊的同時(shí),也應(yīng)當(dāng)保持理性和克制,抑制刑罰邊界擴(kuò)張的沖動(dòng),遵循刑法的謙抑原則。在信息化時(shí)代,信息產(chǎn)業(yè)不僅具有顯著的經(jīng)濟(jì)價(jià)值,也關(guān)系到國(guó)家數(shù)據(jù)戰(zhàn)略的實(shí)施以及社會(huì)治理水平的提高。因此,在理解和認(rèn)定侵犯公民個(gè)人信息罪時(shí),應(yīng)當(dāng)以兼顧公民個(gè)人信息的保護(hù)與數(shù)據(jù)產(chǎn)業(yè)的發(fā)展為價(jià)值指引。要妥當(dāng)?shù)靥幚砗枚唛g的沖突,消弭其間的張力,需要法律的相關(guān)規(guī)定為其劃定邊界。應(yīng)當(dāng)將兩高的《解釋》與《網(wǎng)絡(luò)安全法》有機(jī)銜接,在符合法律規(guī)定前提下,對(duì)侵犯公民個(gè)人信息罪的成立范圍進(jìn)行限縮,同時(shí)引導(dǎo)和促進(jìn)數(shù)據(jù)行業(yè)進(jìn)行企業(yè)合規(guī)建設(shè)。在我國(guó)信息保護(hù)的法律框架并不健全的現(xiàn)實(shí)圖景下,對(duì)于該罪構(gòu)成要件的涵攝應(yīng)注意參考相關(guān)的信息豁免制度,從而正確認(rèn)定阻卻構(gòu)成要件的情形。如靈活運(yùn)用符合目的限定原則、考量本人同意的效果、遵循禁止收集原則及例外制度等。堅(jiān)守刑法的介入應(yīng)當(dāng)理性克制的立場(chǎng),以兼顧數(shù)據(jù)產(chǎn)業(yè)的發(fā)展與公民個(gè)人信息保護(hù)的價(jià)值理念為指導(dǎo),通過結(jié)合信息豁免的相關(guān)制度等進(jìn)行構(gòu)成要件的涵攝,從而實(shí)現(xiàn)對(duì)公民個(gè)人信息及“違反國(guó)家有關(guān)規(guī)定”的限縮解釋。